Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Agent optymalizacji dostępu warunkowego dla firmy Microsoft Entra obejmuje funkcję wdrażania etapowego, która ułatwia organizacjom bezpieczne i wydajne wdrażanie nowych zasad dostępu warunkowego. Ta funkcja Copilot zabezpieczeń firmy Microsoft w firmie Microsoft Entra umożliwia administratorom stopniowe wprowadzanie zasad, monitorowanie ich wpływu i minimalizowanie zakłóceń. Ta etapowa funkcja wdrażania zapewnia stopniowe wdrażanie nowych zasad, aby zminimalizować ryzyko powszechnych zakłóceń dla użytkowników końcowych i zmniejszyć potrzebę ręcznej analizy i planowania, oszczędzając kilka tygodni wysiłku. Podobnie jak w przypadku wszystkich aspektów agenta optymalizacji dostępu warunkowego, administratorzy zachowują pełną kontrolę nad zmianami zasad, takimi jak wybór grupy i tempo wdrażania. Jasne uzasadnienie planu wdrożenia jest również zapewniane w celu zachowania przejrzystości.
W tym artykule wyjaśniono, jak działa proces wdrażania etapowego, opisano wymagania wstępne i opisano wbudowane zabezpieczenia, które pomagają zapewnić bezproblemowe wdrożenie.
Wymagania wstępne
- Musisz mieć co najmniej licencję Microsoft Entra ID P1 .
- Musisz mieć dostępne jednostki obliczeniowe zabezpieczeń (SCU).
- Role Czytelnik zabezpieczeń i Czytelnik globalny mogą wyświetlać agenta i wszelkie sugestie, ale nie mogą podejmować żadnych działań.
- Role Administrator dostępu warunkowego, Administrator zabezpieczeń i Administrator globalny mogą wyświetlać agenta i podejmować działania na podstawie sugestii.
- Dzierżawy muszą mieć co najmniej pięć zdefiniowanych grup, które są obecnie używane w zasadach dostępu warunkowego dla agenta w celu wygenerowania planu wdrożenia etapowego.
Jak to działa
Gdy agent optymalizacji dostępu warunkowego tworzy nową zasadę w trybie wyłącznie raportowania, może zasugerować włączenie zasady poprzez etapową implementację. Agent analizuje dane logowania i istniejące zasady w celu zdefiniowania planu wdrożenia etapowego.
Zasady przeznaczone do zastosowania dla wszystkich użytkowników i muszą być włączone, kwalifikują się do wdrożenia etapowego. Ponieważ istnieje pięć odrębnych faz planu wdrożenia, musisz mieć co najmniej pięć grup do zastosowania planu wdrożenia. Aby określić grupy do użycia, agent sprawdza grupy, które były wcześniej lub są obecnie używane w zasadach dostępu warunkowego. Agent analizuje te grupy, aby zobaczyć, jak wpływają na nie inne zasady dostępu warunkowego, aby ocenić potencjalny wpływ. Agent analizuje rozmiar grup, a następnie używa wszystkich tych czynników do przypisania grup do faz rozpoczynających się od grup o niskim wpływie i kończących się grupami o większym wpływie.
Proces wdrażania etapowego obejmuje trzy kroki:
- Agent tworzy zasady tylko dla raportów z wdrożeniem etapowym
- Administrator przegląda, edytuje i akceptuje plan wdrożenia
- Agent lub administrator wykonuje zatwierdzony plan wdrożenia
Możesz przejrzeć grupy uwzględnione w każdej fazie oraz liczbę dni między poszczególnymi fazami i wprowadzić zmiany przed i podczas etapowego wdrażania. W dowolnym momencie wdrażania możesz wybrać plan wykonywany przez agenta lub ręcznie wykonać każdą fazę planu.
Niezależnie od tego, jak plan jest wykonywany lub czy wprowadzono zmiany w planie, po rozpoczęciu pierwszej fazy zostanie utworzona nowa zasada i włączona dla grup uwzględnionych w pierwszej fazie. Oryginalne zasady trybu tylko do raportu pozostają nienaruszone.
Agent tworzy politykę tylko do raportowania z etapowym wdrażaniem
Agent tworzy zasady tylko raport i tworzy oddzielny plan wdrożenia etapowego. Plany wdrażania obejmują pięć faz, począwszy od małych, grup niskiego ryzyka i postępów w większych grupach wysokiego ryzyka.
Na liście sugestii agenta wyszukaj sugerowane wdrożenie etapowe w kolumnie Akcje podjęte przez agenta .
Administrator przegląda, edytuje i akceptuje plan wdrożenia
Administratorzy muszą przejrzeć szczegóły planu, w tym grupy zawarte w każdej fazie, czas każdego etapu i sposób wykonania planu.
Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator zabezpieczeń.
Przejdź do pozycji Agent optymalizacji dostępu warunkowego i wybierz przycisk Przejrzyj sugestie dla sugestii dotyczącej zasad, które obejmują wprowadzenie etapowe.
Na stronie szczegółów zasad wybierz Przegląd faz.
Wybierz pozycję Edytuj grupy , aby edytować grupy uwzględnione w fazie.
Wybierz strzałkę w dół na przycisku Automatyczne wprowadzanie faz, aby wybrać tryb wykonywania.
- Automatyczne wdrażanie faz: agent automatycznie wdraża każdą fazę na podstawie czasu i sygnałów wpływu.
- Ręczne wdrażanie faz: Administrator ręcznie przechodzi każdą fazę wdrożenia.
Wskazówka
W dowolnym momencie można interweniować przy użyciu planów automatycznego i ręcznego wdrażania. Tryby wykonywania można również zmieniać w dowolnym momencie podczas wdrażania.
Aby dostosować czas między fazami:
- Przejdź do karty Ustawienia z poziomu agenta optymalizacji dostępu warunkowego.
- Dostosuj dni między fazami w sekcji Wprowadzanie etapowe .
- Wybierz przycisk Zapisz, aby zastosować zmiany.
Aby uzyskać więcej informacji, zapoznaj się z ustawieniami wdrażania etapowego.
Agent lub administrator wykonuje zatwierdzony plan wdrożenia
Opcje dostępne do zarządzania wdrożeniem etapowym różnią się w przypadku automatycznego i ręcznego wykonywania.
Automatyczne wdrażanie faz
W przypadku wybrania automatycznego wdrażania agent automatycznie wykonuje plan, tworząc nowe, włączone zasady, które mają zastosowanie do wszystkich grup w pierwszej fazie. Po rozpoczęciu wdrażania kilka kontrolek wydaje się zarządzać wdrożeniem.
Agent wdraża zasady w grupach w następnych fazach na podstawie zdefiniowanego harmonogramu. W dowolnym momencie wdrażania etapowego można wstrzymać wykonywanie planu lub ręcznie wdrożyć pozostałe fazy.
Możesz nadal monitorować między poszczególnymi fazami wdrożenia, aby upewnić się, że zasady działają zgodnie z oczekiwaniami. Podczas wdrażania zasad oryginalne zasady tylko w raporcie pozostają w trybie tylko do raportu dla pozostałych faz. Po zakończeniu etapowego wdrażania agent zaleca usunięcie zasad tylko do raportu przy następnym uruchomieniu, aby można było zachować czystą listę zasad.
Ręczne wdrażanie faz
Jeśli zdecydujesz się ręcznie wykonać plan wdrożenia etapowego, dostępnych jest kilka opcji zarządzania każdym krokiem.
Musisz wybrać pozycję Przenieś do następnej fazy , aby przejść do każdej fazy wdrożenia. W dowolnej fazie można przywrócić poprzednią fazę lub zdecydować się na automatyczne wdrożenie pozostałych faz agenta.
Wbudowane zabezpieczenia
Po rozpoczęciu etapowego wdrażania nie można zaktualizować kontrolek udzielania zasad. Jeśli zmiany zostaną wprowadzone do kontrolek przyznawania, stopniowe wdrożenie zostanie anulowane. Jeśli w dowolnej fazie nowe zasady blokują więcej niż 10% logowania, wdrożenie zostanie natychmiast wstrzymane. Administrator jest powiadamiany, aby można było przejrzeć i potencjalnie zmodyfikować szczegóły.
Najczęściej zadawane pytania
Jak działa funkcja wdrażania etapowego?
Po wybraniu grup, do których ma zastosowanie każda faza, agent tworzy zduplikowane zasady dostępu warunkowego, które obejmują tylko grupę pierwszej fazy. Oryginalne zasady dostępu warunkowego są utrwalane w trybie tylko do raportu i są przeznaczone dla wszystkich użytkowników, dzięki czemu można nadal zbierać dane. Gdy wdrożenie przechodzi do następnej fazy, partia grup zostanie dodana do zasad dostępu warunkowego z włączoną obsługą. Agent monitoruje wpływ poszczególnych etapów na logowania skojarzone z tymi zasadami. Jeśli współczynnik powodzenia spadnie poniżej 90%, etapowe wdrożenie zostanie zatrzymane i włączone zasady zostaną umieszczone z powrotem w trybie tylko do raportu. Następnie możesz przejrzeć dzienniki, aby ustalić, dlaczego logowania zakończyły się niepowodzeniem przed ponownym podjęciem próby wdrożenia etapowego.
Czy muszę włączyć wdrożenie etapowe?
Funkcja wdrażania etapowego jest domyślnie włączona. Aby wyłączyć tę funkcję, przejdź do karty Ustawienia na stronie Agent optymalizacji dostępu warunkowego. W obszarze Wdrożenie etapowe przełącz przełącznik na Wyłączone.